eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plPrawoPrawo dla biznesuUbezpieczyciele i szyfrowanie danych osobowych

Ubezpieczyciele i szyfrowanie danych osobowych

2017-07-02 00:50

Ubezpieczyciele i szyfrowanie danych osobowych

Ubezpieczyciele mają obowiązek chronić dane © ijeab - Fotolia.com

Ubezpieczyciele – jako podmioty, które w związku z prowadzoną działalnością przetwarzają duże ilości danych osobowych – są zobowiązani do zabezpieczania zebranych informacji w najlepszy możliwy sposób – również przez szyfrowanie, które w obliczu drastycznego wzrostu zagrożeń i skuteczności cyberataków jest rozwiązaniem najpewniejszym. Ryzyko podmiotów zarządzających danymi osobowymi związane z niedopełnieniem obowiązków jest poważne, gdyż wiąże się nawet z odpowiedzialnością karną – z karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2.

Przeczytaj także: RODO przeszkadza ubezpieczycielom

Dodatkowo, ubezpieczyciele są związani wytycznymi przedstawionymi przez ich organ nadzorujący – jakim jest Komisja Nadzoru Finansowego. Nałożyła ona – Uchwałą z 16 grudnia 2014 roku (która oczekiwała, że wytyczne zostaną wprowadzone do 31 grudnia 2016 roku) obowiązek wprowadzenia nowych standardów dotyczących kwestii teleinformatycznych w tym ochrony danych i szyfrowania, które zapewnia najwyższy dostępny obecnie standard bezpieczeństwa.

Wytyczne te dodatkowo wyprzedzają obowiązki wskazane w Ogólnym Rozporządzeniu o Ochronie Danych Osobowych (RODO, które zacznie bezpośrednio obowiązywać od 25 maja 2018 roku). Obowiązki nakładane przez oba te akty, w odniesieniu do zabezpieczeń danych przetwarzanych w systemach informatycznych, można w istotnym zakresie realizować używając programów szyfrujących.

Sytuacja Ubezpieczycieli jest szczególna, gdyż nie tylko są zobligowani do realizowania postanowień zawartych w wytycznych KNF, ale także będzie ich obowiązywało – jak wszystkich przedsiębiorców na terenie całej Unii Europejskiej – rozporządzenie o ochronie danych osobowych – RODO, które przewiduje znacznie surowsze sankcje finansowe niż występujące dotychczas, m.in. dla tych, którzy niewłaściwie zabezpieczają dane osobowe. Mogą one wynosić w zależności od naruszenia odpowiednio do 10 mln euro albo 2 % łącznego światowego obrotu przedsiębiorstwa lub do 20 mln euro albo do 4% łącznego obrotu światowego przedsiębiorstwa.

fot. ijeab - Fotolia.com

Ubezpieczyciele mają obowiązek chronić dane

Ubezpieczyciele są zobowiązani do zabezpieczania zebranych informacji w najlepszy możliwy sposób – również przez szyfrowanie.


Sytuacja Ubezpieczycieli i zakładów reasekuracji ze względu na obowiązujące już wytyczne KNF oraz zapowiadane standardy RODO jest złożona. Stosowane przez wiele firm rozwiązania hardware są kosztowne i wymagają częstych aktualizacji. Ich wadą są drogie umowy pogwarancyjne oraz brak gwarancji bezpieczeństwa w przypadku uzyskania do nich dostępu osób niepożądanych, a to może wiązać się z istotnymi konsekwencjami dla firmy. Alternatywnym rozwiązaniem jest zastosowanie oprogramowania software’owego, które poprzez szyfrowanie i kontrolę dostępu zapewni odpowiedni poziom ochrony danych, nawet w przypadku ataku hakerskiego. Takie oprogramowanie może uchronić firmy ubezpieczeniowe i reasekuracyjne przed wielomilionowymi stratami związanymi z utratą danych w wyniku cyberataku, karami finansowymi nakładanymi przez organy nadzoru i odszkodowaniami wypłacanymi poszkodowanym klientom. Zaznaczyć należy, że coraz popularniejsze stają się ataki polegające na uzyskiwaniu dostępu do danych i ich szyfrowaniu przez atakującego w celu wymuszenia okupu, który i tak często nie zapewnia ich odzyskania.

Szyfrowanie danych zalecane jest w wytycznych Komisji Nadzoru Finansowego dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji w odniesieniu do następujących obszarów:
  • wytyczna numer 7: „Rozwój systemów informatycznych”
  • wytyczna numer 9: „Zarządzanie infrastrukturą teleinformatyczną”
  • wytyczna numer 10: „Współpraca z zewnętrznymi dostawcami usług”
  • wytyczna numer 11: „Kontrola dostępu”
  • wytyczna numer 15: „Ciągłość działania środowiska teleinformatycznego”
  • wytyczna numer 16: „Bezpieczeństwo danych i środków klientów”
  • wytyczna numer 19: „Klasyfikacja informacji i systemów informatycznych”

RODO zacznie obowiązywać za niespełna rok, to jest 25 maja 2018 roku. Aktualnie wszystkie podmioty w obrocie gospodarczym są w okresie przejściowym, w którym konieczne jest dostosowanie obecnie stosowanych standardów ochrony danych osobowych do przyszłorocznej reformy. Należy jednak podkreślić, że ze względu na wspomniane wytyczne KNF, ubezpieczyciele i firmy reasekuracyjne są już obecnie zobowiązane do stosowania wysokich standardów bezpieczeństwa w ochronie danych, w tym osobowych, przetwarzanych w systemach informatycznych.

Piotr Biernatowski, adwokat z kancelarii LARGO LAW

oprac. : eGospodarka.pl eGospodarka.pl

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: